gpg

1 entrada

añadiendo las firmas digitales de debian

Mamá, esto no es para tí ;).

Estos días me estoy encontrando con que han cambiado las claves (o llaves) GPG de los servidores de ficheros en Debian y claro, el equipo dice que nones, que no instala algo sin firmar a no ser que tu mismo lo firmes con sangre y lo valides.

Siempre me encontraba con el mismo mensaje:

zoolox:~# aptitude install tcpflow
Leyendo lista de paquetes... Hecho
Creando árbol de dependencias... Hecho
Leyendo la información de estado extendido
Inicializando el estado de los paquetes... Hecho
Construir la base de datos de etiquetas... Hecho
Se instalarán los siguiente paquetes NUEVOS:
tcpflow
0 paquetes actualizados, 1 nuevos instalados, 0 para eliminar y 0 sin actualizar.
Necesito descargar 23,5kB de ficheros. Después de desempaquetar se usarán 90,1kB.
AVISO: ¡se instalarán versiones sin firmar de los siguientes paquetes!
Los paquetes sin firmar pueden comprometer la seguridad del sistema.
Sólo debe continuar con la instalación si está completamente seguro de que es lo
que quiere.
tcpflow
¿Quiere ignorar este aviso y continuar de todos modos?
Para continuar, introduzca "Sí"; para abortar, introduzca "No":

Así que, tras dar muchas vueltas, he comenzado a usar apt-key, el gestor de las llaves (keys) que autentican al servidor de donde me bajo todos los ficheros de Debian. Además de implementar la opción de comprobar las llaves GPG de cada paquete, se añade la opción de comprobar la veracidad de los servidores, que es practicamente obligatoria después de la última actualización del apt y del aptitude.

En un mundo en que no se confía en el vecino, parece lógico y normal que queramos saber que instalamos algo en el disco duro directamente de quien dice ser el desarrollador. Y es que toda precaución es poca después de ver como se retrasaba la salida de woody durante muchos meses por un ataque, precisamente, a las claves GPG de los paquetes.

Para evitar que me preguntase por cada mensaje, hay que añadir la firma digital de los servidores de Debian en apt-key. Para ello me descargué el fichero ziyi_key_2006.asc al disco duro y ejecuté este comando:

zoolox:~# apt-key add ziyi_key_2006.asc
OK

A continuación se actualiza la base de datos del programa que empleemos para gestionar los paquetes, en mi caso aptitude:

zoolox:~# aptitude update

y ¡listo! A partir de este momento no preguntará más si quiero firmar los paquetes con un hierro ardiendo ;). ¡Ah! Como muy bien se explica en la web de Debian, esta firma digital expira el siete de febrero del 2007, así que tocará renovar las firmas por esa fecha.

debian, gnu, aptitude, apt, digital signature, gpg, key